我正在设置 VMWare 实验室。我有一个物理机箱,上面安装了 ESXi 6.7。虽然我会添加更多,但我目前有 3 个虚拟机;一个未安装服务器角色的 Windows 2016 Server、一个安装(并配置)了 DC 和 DNS 角色的 DC(从 Windows Server 2016 的基本映像克隆)和一个 VyOS 路由器。
下面是网络图,但 VyOS 路由器有四个子网;一个用于 DC,一个用于 Server 2016 盒,一个当前为空,另一个作为网络外的路由。
DC 静态分配了 10.0.1.1。Server 2016 框配置了 DHCP(DC 上的 DHCP 角色),并且确认 DHCP 可以正常工作,因为该框已分配了 10.0.2.11(池为 10.0.2.1-254,保留 1-9(不知道为什么不采用 10,但不在乎)。
但是,我似乎既有 DNS 问题,又有路由问题。具体来说,从 DC,我可以 ping 通环回、每个 VyOS 接口、ESXi NIC、管理工作站(我的桌面)以及我的 pfSense 防火墙。但是,我无法通过 IP(request timed out)或主机名(ping request could not find host Server2016) ping Server2016 框(再次,我可以 ping 通其子网中的接口,但不能 ping 通框本身),也无法 ping 到 8.8.8.8 或任何其他外部网络(reply from 10.0.1.254: destiation unreachable)。Server2016 框也是如此;我可以 ping 通环回、每个 VyOS 接口、ESXi NIC、工作站和 pfSense,但我无法通过 IP 或主机名 ping 通 DC(它至少将 DC1 解析为 IP,但随后给出request timed out),也无法 ping 通互联网。
我非常确定这只是一个/多个配置问题。我只是还没能修复它/它们。我的 VyOS 配置(屏幕截图,因为我无法从环境中复制/粘贴)以及 DHCP 和 DNS 配置如下:
非常感谢您的帮助!
答案1
我会尝试一下。存在多个问题。
- 为什么你不能访问互联网?(即
ping 8.8.8.8)
看来您的 NAT 配置在 VyOS 中并不完整。我绝对不是 VyOS 专家。但是,您似乎还应该指定要在 NAT 规则中匹配的源地址。在这种情况下,我相信您需要添加set nat source rule 10 source address '10.0.1.1-10.0.3.254'。如果没有这个,流量将不符合 NAT 规则,因此当流量流出到您的家庭网络朝向 pfSense 框时,它不会被 NAT。在这种情况下,pfSense 将没有适当的路由表或适当的信任来传递来自虚拟网络的流量。NAT 会隐藏这些地址,并使来自虚拟网络的所有流量在您的家庭网络上显示为单个受信任的系统。这里的缺点是通信是单向的。您可以从虚拟网络内 ping 您的工作站,但您的工作站将无法 ping 或连接到虚拟网络中的机器。除非您在 VyOS 中建立适当的端口转发规则。
- 为什么无法从 DC ping 通服务器或反之亦然?
默认情况下,Windows 防火墙处于打开状态,将阻止大部分流量。尝试关闭 Windows 防火墙以进行测试。如果这解决了问题,则向防火墙规则添加必要的例外。或者,一旦您的域正常运行,就可以使用组策略在域中的所有计算机上部署标准防火墙规则,这真的很容易。例如,您可以允许 ICMP Echo 请求/回复,这样就ping可以了。
- 为什么无法
Server2016解析服务器的 IP 地址?
您当前的配置未显示您已将与名称匹配的 A 记录添加到 DNS 服务器Server2016。如果这是一个功能齐全的 AD 域,则通常允许属于该域的系统在 DNS 服务器上添加和更新自己的 A 记录,因此此过程是自动的。但是,由于Server2016尚未加入域,因此它无权在 DNS 服务器上添加/更新记录。因此,您必须手动添加它。